Roland Moreno a gagné le pari qu'il avait lancé le 13 mars dernier : d'une durée de trois mois, le défi proposé par Innovatron

INNOVATRON communique :

Roland Moreno a gagné le pari qu'il avait lancé le 13 mars dernier : d'une durée de trois mois, le défi proposé par Innovatron consistait à violer une carte à puce au moyen d'un ordinateur, aussi puissant soit-il.

La violation consistait :

- à écrire une information, quelle qu'elle soit, dans l'une quelconque des zones réservées de la carte à puce,

- à révéler le code confidentiel de trois cartes bancaires

- le tout pendant une période de trois mois, venant d'expirer.

Une prime de UN MILLION DE FRANCS était offerte à quiconque, enfermé pendant un mois dans un laboratoire équipé de tous les instruments logiques jugés nécessaires par le parieur, et/ou relié à un ordinateur de quelque puissance que ce soit.

Étant donné le considérable phénomène médiatique ayant préludé à ce pari (la simulation d'une carte bancaire par un informaticien du nom de Humpich),

.et compte tenu de l'important impact médiatique du défi lancé par Roland Moreno (plusieurs centaines d'articles de presse, radio et télévision),

.compte tenu enfin de l’importance de l’enjeu,

il faut considérer que la preuve a bien été administrée : la carte à puce est insusceptible de violation par un ordinateur.

(Voir en annexe le texte du communiqué officiel, tel que publié par Roland Moreno le 14/3/2000, et déposé auprès

- d'un office notarial

- de l'Agence France-Presse.)

A N N E X E

À propos de la panique médiatique sur les cartes à puce :

L'inventeur fait le point et lance un défi

Je comprends l'emballement médiatique de ces derniers jours, tant est sensible chez chacun d'entre nous tout ce qui touche à la monnaie universelle : les mêmes péripéties portant sur les cartes de téléphone, par exemple, ou encore sur les cartes de stationnement auraient suscité un bien moindre écho, et certainement pas la une simultanée de Libération et du Monde, loin s'en faut.

Mais l'affaire porte sur les cartes bancaires, avec tout ce que celles-ci peuvent évoquer de symbolique, ne serait-ce que ces billets tout neufs qui jaillissent des murs (des banques) sur la simple frappe de quatre chiffres.

En outre, on prononce désormais à propos de ce mystère le mot magique : Internet.

Très naturellement, on confond.

Trois choses au moins sont confondues :

- la carte

- la cryptologie

- Internet.

La carte est une citadelle, une sorte de Fort-Knox toute de silicium, d'aluminium, de bore, de phosphore, et autres impuretés qui lui confèrent sa perfection.

Que signifie dans le cas d'un support d'informations " inviolable ", que signifierait " violation " ?

Au risque de tangenter les notions les plus scabreuses, il faut bien reconnaître que ce viol consiste :

- à s'introduire dans un endroit réservé

- pour y déposer des informations nouvelles

- ou pour y lire des informations secrètes.

Par exemple, une page d'agenda personnelle est un endroit réservé, de même qu'un journal intime. La violation de ces deux mémoires consiste :

- à lire (un mot, une ligne, une page)

- à écrire un mot ou une phrase supplémentaires

- à surcharger un mot ou un nombre pour en changer le sens (par exemple transformation d'un 5 en 6, d'un 3 en 8 ou d'un P en B.

- à effacer (à l'aide d'une forte gomme) une lettre ou un mot.

oOo

La carte à puce répond très exactement à ce cahier de charges : S. Humpich n'a jamais réussi à s'introduire dans la carte à puce pour en lire une information secrète (en l'occurrence : le code confidentiel) ni/ou pour en modifier le contenu (ajout, altération, effacement).

Même

même la plus modeste des cartes à puce, la carte de téléphone, n'a jamais été violée logiquement (et ne risque pas de l'être).

Celle-ci n'est pourtant protégée qu'en écriture : une zone de 24 chiffres, correspondant aux données administratives et manufacturières est réservée une fois pour toutes, en sortie d'usine. De son intégrité dépend la sûreté du système contre les manipulations logiques : depuis près de vingt ans, et avec le concours de seuls moyens logiques, nul n'a jamais percé cette barrière, clairement décrite sur la figure 4 de mon brevet du 17 mars 1975.

[Illustration]

J'ajoute avoir fait éditer en 1991 une télécarte illustrée par — précisément — cette figure 4 : sorte de défi lancé aux candidats fraudeurs (les plans de la citadelle figurent sur sa devanture, ce qui n'affecte en rien, comme on a pu en juger, sa sécurité, après que 2000 exemplaires de cette carte aient été distribués).

oOo

Alors d'où vient le problème qui déchaîne les médias depuis le mois d'août dernier, et tout spécialement depuis la condamnation de S. Humpich ?

Il se situe dans un tout autre champ que celui de la carte à puce : celui de la cryptologie. Mot nouveau, notion nouvelle : cela nous vient de l'emprise qui est désormais celle de l'informatique dans notre vie quotidienne (PC, Macintosh, Internet, et même Canal Plus).

Cette science des signes consiste à chiffrer pour rendre inaccessible : cas de la télévision payante, qui nous est si familier dès que nous calons notre téléviseur sur une station " codée ", ou que nous retirons la clé Canal de son logement.

Ou encore (plus proche de l'ordinateur individuel) : protection des logiciels, " compaction " des fichiers, cryptage des télétransmissions.

Dans leur souci d'interbancarité, et en vue de généraliser le paiement électronique, les banques ont pris l'option, dès le milieu des années 80, de doter leur réseau de " clés " correspondant à diverses fonctions complémentaires de sécurité : authentification, intégrité, signature, chiffrement. Techniques ressortissant toutes à la cryptologie (et sans rapport particulier avec l'électronique, — encore moins avec l'électronique de la carte à puce) : le fait est que par maints aspects, la cryptologie met en œuvre des clés, clés de toute nature (publiques, secrètes, symétriques ou asymétriques, simples doubles ou triples, etc.), et que les banques ont choisi un format de clé très insuffisant, et immédiatement signalé comme tel par les experts cryptologues.

Dès 1988, dans une publication officielle, ce risque était clairement mis en évidence (après avoir été évoqué publiquement en 1984) et pourtant, en une quinzaine d’années, les banques n'ont pas remédié à ce choix malencontreux.

Voilà toute l'affaire.

À mesure que la puissance de calcul disponible sous le capot de nos Macintosh et de nos PC a augmenté, exponentiellement, la mise en garde de 1988 devenait de plus en plus pertinente.

Songeons que les unités centrales, d'un format de 8 bits, étaient à l'époque cadencées à 20 Mhz : il s'agit aujourd'hui couramment de 32 bits et 500 Mhz.

Soit un progrès de l'ordre de 100 fois !

Autrement dit, là où les imprécations de 1984 et 1988 ne concernaient encore que de gros calculateurs disponibles dans l'industrie nucléaire, la météorologie, la résistance des matériaux, nous avons aujourd'hui des ordinateurs à 8000 F chez Carrefour .

Et le format retenu par les banques (320 bits) devient vulnérable — non pas pour la violation, mais pour la simulation — à un modeste PC tournant quelques heures ou quelques jours avec un logiciel (gratuit) japonais !

oOo

Autre point fatidique : les distributeurs de billets de banque.

Chacun croit que depuis Humpich leur sécurité est moindre. Il n'en est rien. Pour une seule et simple raison, mais elle est de taille : ceux-ci (contrairement à une légende tenace) n'exploitent pas la puce, mais tout simplement la piste magnétique noire, au verso de la carte.

J'invite ici et maintenant ceux des lecteurs du Monde et de Libération qui ont pu être abusés par la titraille sensationnaliste de leur quotidien préféré : collez donc momentanément un centimètre de scotch sur la puce de votre carte (la faisant ainsi disparaître), et allez retirer des billets, autant de billets que vous voudrez.

Ni la puce, ni S. Humpich ne sont concernés par les distributeurs de billets !

oOo

Le code confidentiel, maintenant : si je perds ma carte, ou si on me la dérobe, S. Humpich peut-il en extraire le code ? Non, non, et non encore. Je le répète ici : la carte est inviolable à l'intrusion logique, quoique puissent en titrer (avec une légèreté blâmable) Le Figaro, Le Monde et Libération.

oOo

Et Internet ? Toujours rien !

Le cas est même encore plus simple qu'avec les distributeurs de billets : Internet ignore non seulement la puce, mais aussi la piste magnétique noire.

On est, avec Internet confronté au même risque sur la planète entière (pas seulement en France, et en tout cas pas avec la puce) :

— se procurer un numéro de carte et date d'expiration, dans n'importe lequel des caniveaux ou traîne une facturette roulée en boule.

— passer une commande (par lettre, par téléphone, par minitel, Internet ou autre) de type VPC.

— la marchandise sera livrée à l'adresse indiquée (où le bénéficiaire pourra le cas échéant se faire cueillir par la police).

— résultat : une fraude de droit commun (ne portant en général que sur deux ou trois achats de quelques centaines de francs ), la même depuis quarante années qu'ont été inventées la vente par correspondance et son paiement par carte de crédit.

oOo

Pour conclure.

Inventeur de ladite carte, je voudrais réagir le plus clairement du monde à ces deux titres qui me mettent en cause et qui, surtout, constituent un péché contre l'intelligence et contre la science (de l'électronique, mais aussi du journalisme !).

" Les cartes à puce ne sont plus inviolables " [Le Monde]

" La puce n'est pas inviolable " [Libération]

Alors voici mon pari.

Je mets en jeu une somme de UN MILLION de francs sur la base de l'épreuve suivante :

A/ quiconque parviendrait à écrire un bit dans la zone préservée par mon brevet " Inhibiteur " (17 mars 1975), et

B/ quiconque parviendrait à lire un bit dans la zone préservée par la combinaison de mes deux brevets " Comparateur " et " Compteur d'Erreurs "

recevrait en paiement UN MILLION de francs, somme offerte par Innovatron, la société que je dirige depuis vingt six ans, et qui détient les brevets de base de la carte à puce.

Conditions de l'épreuve : le joueur restera enfermé pendant un mois dans un laboratoire, équipé de tous les instruments logiques dont il souhaitera disposer y compris une liaison, aussi rapide qu’exigé, avec un ordinateur de quelque puissance que ce soit.

Le joueur pourra être un ingénieur, un étudiant, ou un amateur.

Offre valable trois mois.

oOo

Délibérément, sont exclus du champ de cette épreuve les moyens analogiques de toute nature, ainsi que les moyens chimiques, mécaniques, optiques, électriques ou radioélectriques.

Les cartes cibles seront :

- pour la violation de type A : une " télécarte " type TS1001 (celle là même qui a été fabriquée à plusieurs milliards d'exemplaires) : écrire une information quelle qu'elle soit dans la zone réservée.

- pour la violation de type B : identifier le code porteur de trois cartes bancaires françaises actuellement en circulation.

oOo

On me pardonnera ce qui pourra apparaître comme une sorte de dramatisation : mais il n'est pas si fréquent — je veux dire : il n'arrive jamais — qu'un événement scientifique occupe simultanément la une, toute la une, des deux plus prestigieux quotidiens français.

Qui plus est, qu'on évoque à son endroit, comme le fait Libération dans son éditorial, le précédent du sang contaminé.

Roland MORENO